web-dev-qa-db-fra.com

Nouveau virus de surveillance "Linux". Quelle pourrait-être la cause?

Cette question avait déjà été soulevée ici, mais a été mal répondu par des réponses génériques, comme reinstall everything et aucune solution ni cause réelle.

Voici donc mon histoire: il y a un nouveau virus qui crée un processus appelé "WATCHBOG" qui mange tout le CPU du serveur. Après une enquête plus approfondie, j'ai découvert que ce virus exploitait la crypto-monnaie.

Histoire complète:

Spécifications du serveur: OS: serveur Ubuntu 16.04.5 Logiciel LTS: Apache2 avec virtualhosts, MYSQL, PHP5.6, PHP7

Quand j'ai découvert que ce serveur Web était infecté, les pages Web fonctionnaient toujours mais terriblement lentement. La première chose que je vois est le processus de surveillance qui mange tout le processeur, j'ai donc essayé de le tuer, mais il réapparaît instantanément, et tout est si lent qu'il est presque impossible de faire fonctionner le serveur. Ensuite, ce que je pensais - "ok, j'ai besoin de mettre fin à ce processus" Alors j'ai pensé que je mettrais "* * * * * killall watchbog" dans crontab, alors j'ai ouvert crontab, et j'ai découvert qu'il était également compromis. J'ai supprimé cette nouvelle entrée de crontab, j'ai supprimé le fichier de surveillance et après une minute ou deux, tout est réapparu comme par magie. Crontab a de nouveau été compromis pour exécuter une sorte de script à distance et le processus de surveillance était en place et mangeait à nouveau le processeur.

J'ai essayé de trouver quelque chose d'utile sur le Web et j'ai trouvé ces articles:

Voici la plus utile: https: //sudhakarbellamkonda.blogspot...50061219193777

Après avoir suivi cet article, le virus Watchbog est toujours réapparu, j'ai donc trouvé cette solution: Ouvrez une session d'écran en tant que root, puis exécutez cette boucle: (tout en étant vrai; faites killall watchbog; terminé) et laissez-le fonctionner en arrière-plan en détachant la session d'écran avec CTRL + A + D. J'ai également posté cette solution dans ce blog. et voici un autre post, mais rien n'y est vraiment utile
https://unix.stackexchange.com/questions/487437/a-strange-process-called-watchbog-is-hogging-my-entire-cpu-and-i-cant-get -rid

J'ai donc essayé de lutter contre ce virus de plusieurs façons, changé de mot de passe, réinstallé SSH, etc., sans succès. Pendant ce temps, j'ai créé un nouveau serveur Ubuntu avec la dernière version 18.04.1 LTS. Nous avons installé toutes les dernières fonctionnalités de serveur Web, activé UFW, ouvert les ports Web et FTP, puis migré les données WWW et SQL, changé l'IP en IP des serveurs d'origine, et ..... c'est de nouveau là!

Le virus est revenu sur la nouvelle machine

Je pense que ce virus infecte probablement le système en utilisant une vulnérabilité dans un logiciel de serveur Web.Nous avons donc découvert que WGET et CURL sont responsables de la distribution du virus dans le système.Nous essayons maintenant de comprendre comment il y est arrivé.

Si vous avez des conseils, veuillez m'aider à trouver la vulnérabilité.

P.S. Ceci est ma première question, jugez-moi doucement s'il vous plaît :)

3
r. tihovs

Enfin, nous avons trouvé la vulnérabilité!

La cause en était le module du moteur de recherche SOLR ( http://lucene.Apache.org/solr/ ), il était obsolète et avait des droits root, après l'avoir supprimé, le virus ne réapparaît plus. Alors maintenant, le plan est de repartir de zéro et j'espère que c'est fini ...

0
r. tihovs

A beaucoup creusé là-dessus. C'est un assez nouveau script qui exécute un code plus ancien. Criez sur Twitter, google translate, notpad et l'ennui général.

Watchbog est un script de mineur qui télécharge plusieurs utilitaires pour compromettre un système afin d'effectuer une cryptanalyse. Dans le cadre du package, il a plusieurs fonctionnalités.

  1. Il détermine l'architecture du système d'exploitation utilisé
  2. Il détermine la version du noyau à exploiter
  3. Il télécharge les outils appropriés à un emplacement dans/tmp pour exploitation.

Une fois que le script est en place, il recherche plusieurs commandes de Pastebin telles que mettre à jour, exécuter des scripts ou autre. Je suppose que l'attaquant utilise toujours Pastebin et il ne semble pas encore y avoir de mise à jour pour cela, mais le script est assez intelligent pour le rechercher.

Après avoir vérifié les mises à jour, le script sauvegarde cron et le réécrit complètement avec PLUSIEURS références au script pour s'assurer qu'il est mis à jour et exécuté malgré toutes les tentatives de l'utilisateur. C'est assez épuisant de lire cette partie du code, mais c'est certainement faisable.

Une fois que l'onglet CRON fonctionne comme il se doit, le compte peut consulter ses informations d'identification. Si nécessaire, il exploite cve-2017-16995. Plus d'informations peuvent être trouvées ici:

https://www.exploit-db.com/exploits/4501

Cela permet à un utilisateur standard d'atteindre la racine et de commencer à exécuter des scripts selon les besoins. Il exécute quelques tests de base pour s'assurer que tous les composants fonctionnent (Curl, wget, python, appels OS), puis lance l'application complète pour commencer l'extraction.

En regardant en ligne, il semble que le fichier puisse être facilement utilisé pour avoir un impact sur un site qui autorise les attaques XSS. En plus de verrouiller les sites autorisés pour la création de scripts, il y a quelques autres zones ciblées que vous voudrez peut-être examiner pour les correctifs.

  1. Ils utilisent le spouleur de messagerie pour le compte root. Un e-mail contient un script Shell. Celui qui lance Watchbog.

  2. Le commentaire ci-dessus mentionnait SOLR. La source que j'ai trouvée en Chine a mentionné qu'il y avait une opportunité XSS potentielle après l'utilisation de CKeditor, un éditeur de texte riche populaire pour les sites Web. Certainement quelque chose à garder à l'esprit.

À retenir:

PATCH tout. La vulnérabilité utilisée a un impact sur les noyaux suivants:

'4.4.0-31-generic',
'4.4.0-62-generic',
'4.4.0-81-generic',
'4.4.0-116-generic',
'4.8.0-58-generic',
'4.10.0.42-generic',
'4.13.0-21-generic',
'4.9.0-3-AMD64',
'4.9.0-deepin13-AMD64',
'4.8.0-52-generic',
'4.8.6-300.fc25.x86_64',
'4.11.8-300.fc26.x86_64',
'4.13.9-300.fc27.x86_64',
'4.5.2-aufs-r',
'4.4.0-89-generic',
'4.8.0-58-generic',
'4.13.0-16-generic',
'4.9.35-desktop-1.mga6',
'4.4.28-2-MANJARO',
'4.12.7-11.current',
'4.4.0-89-generic',
'4.8.0-45-generic',
'4.10.0-28-generic',
'4.10.0-19-generic',
'4.8.0-39-generic'

Ne laissez pas root recevoir des e-mails.

Protégez-vous contre XSS.

6
Connor Peoples

Je suis probablement l'une de ces réponses que vous avez jugées comme une "mauvaise réponse générique", mais je vais le répéter.

Pour l'instant, on sait peu de choses sur ce virus, et il pourrait avoir bien plus que le processus en cours actuellement, et pourrait être une violation critique des données sensibles via, par exemple, une porte dérobée. Par conséquent, la seule chose SÉCURITAIRE à faire est de refaire une nouvelle installation après avoir sélectionné à la main le fichier que vous souhaitez enregistrer et, comme l'a dit AndrolGenhald, se concentrer sur la façon de prévenir une nouvelle infection sur le nouveau système.

1
Thryn